Una gran cantidad de sitios Web, algunos muy conocidos, fueron comprometidos este fin de semana en la distribución de código malicioso. El código ha sido identificado como "Scob" (otros nombres: Toofer, Download.Ject, JS/Scob, JS.Toofer, JS/Exploit-DialogArg.b, JS.Scob.Trojan, Win32.Toofer, JScript/Toofer.Trojan, JS/Scob-A, Trojan.JS.Scob.a).
El atacante descargó un pequeño archivo conteniendo un código en JavaScript para infectar estos sitios, alterando la configuración de los servidores para que los mismos agreguen dicho script a todas los archivos que son solicitados por los usuarios (HTML, CSS, GIF, JPG, etc.).
Cuando un usuario visita el sitio infectado utilizando el Internet Explorer, el javascript es enviado a su máquina, y ejecutado. Las instrucciones del javascript descargan y ejecutan desde otro sitio de Internet, ubicado en Rusia, un troyano potencialmente peligroso.
Se han reportado diferentes ejecutables. Todos estos caballos de Troya incluyen capturadores de teclado (keyloggers), servidores proxy y otras puertas traseras que le permiten al atacante, el acceso total al sistema infectado.
El código en javascript utiliza una vulnerabilidad conocida del Microsoft Internet Explorer para descargarlos y ejecutarlos, sin que ninguna advertencia sea mostrada al usuario. Este tampoco debe hacer ningún clic sobre enlace alguno para infectarse (salvo el primero que lo llevó a visitar un sitio que perfectamente podría ser considerado seguro y que tal vez visitara todos los días, pero que ha sido también infectado).
Para administradores de sitios Web
Si su servidor está comprometido, usted puede observar lo siguiente:
- Todos los archivos enviados por el servidor web incluyen el javascript. Como el script es enviado como un pie de página global (global footer), todos los archivos lo agregarán, incluidas imágenes y otros documentos como archivos robots.txt, etc.
- Los archivos en el servidor no son alterados. El javascript se incluye como un pie de página global y es agregado por el servidor cuando los solicita el navegador.
- El "global footer" es puesto en un nuevo archivo.
No existen indicios claros de como se llegó a comprometer los primeros servidores atacados. La recomendación es reinstalar completamente un servidor que haya sido infectado, ya que quitando la opción de agregar el pie de página y borrando el javascript, no es posible asegurarse de haber eliminado otras amenazas que aún pueden permanecer latentes. Se trata de un ataque muy sofisticado y podrían existir otras puertas traseras escondidas.
Microsoft publicó una advertencia sobre el tema, en donde explica que también son vulnerables los usuarios de Windows 2000 Server que utilizan IIS, y que no hayan aplicado el parche 835732 para Windows, según se indica en uno de los últimos boletines emitidos por la compañía (MS04-011).
Microsoft recomienda a estos usuarios, descargar e instalar dicho parche. Más información:
MS04-011 Actualización crítica de Windows (835732) http://www.vsantivirus.com/vulms04-011.htm
Para usuarios domésticos
Si usted visita un sitio infectado y su navegador es afectado, tenga en cuenta lo siguiente:
- Puede ver un error relacionado con un javascript. Pero ello dependerá de como se tenga configurado el Explorer. Tenga en cuenta que la infección puede ocurrir aún sin este mensaje.
- Desconecte su sistema de la red tan pronto como pueda.
- Ejecute un antivirus actualizado (busque la última disponible, teniendo en cuenta que los fabricantes actualizaron sus productos entre el 25 y el 26 de junio, una base de datos con una fecha anterior no detectaría nada).
- Si usted utiliza un cortafuegos o es capaz de controlar de algún modo el tráfico de su PC hacia Internet, tal vez podrá ver los intentos de conexión con la dirección IP 217.107.218.147 por el puerto 80. Recuerde que en el caso de Windows XP el cortafuegos integrado solo le bloquea el tráfico entrante, no el saliente, por ello recomendamos ZoneAlarm u otro similar.
- No se han reportado hasta el momento, otras direcciones a las que el troyano intente conectarse, pero como dicho sitio ha sido desactivado, los atacantes podrían emplear los mismos métodos utilizados hasta ahora, para implantar un nuevo script que apunte a nuevas direcciones.
- La mayoría de los fabricantes de antivirus detectan este script como "Scob", con diferentes variaciones en su nombre (Toofer, Download.Ject, JS/Scob, JS.Toofer, JS/Exploit-DialogArg.b, JS.Scob.Trojan, Win32.Toofer, JScript/Toofer.Trojan, JS/Scob-A, Trojan.JS.Scob.a).
- Una de las vulnerabilidades utilizadas (pero no todas), puede ser bloqueada descargando e instalando el siguiente parche (aunque se menciona el Outlook Express, corrige el fallo para todos los demás componentes de Windows):
MS04-013 Parche acumulativo para Outlook Express (837009) http://www.vsantivirus.com/vulms04-013.htm
Lo que usted se pregunta sobre este ataque:
- ¿Cuál es el escenario del ataque?
Este ataque afecta sitios Web corriendo el servicio Microsoft Internet Information Server (IIS) versión 5. Por medio de ellos, son comprometidos los sistemas de los usuarios finales que utilizan Internet Explorer y visitan estos sitios.
- ¿Es esta la primera vez que tantos servidores de Internet han sido comprometidos para atacar navegadores?
No. El gusano Nimda intentó el mismo truco utilizando una vieja vulnerabilidad del Microsoft Internet Explorer. Se han observado otros intentos en el pasado. Este ataque es especial porque afecta a muchos servidores y no es fácilmente perceptible.
- ¿Los sitios afectados son "mutilados" o alterados de alguna forma?
No. En la mayoría de los casos, los usuarios y los navegadores verán igual que siempre a los sitios afectados. Sin embargo, el javascript infectado puede llegar a interferir con otro javascript en la página respectiva.
- ¿El javascript que el servidor agrega a las imágenes, también puede ser ejecutado?
No. El javascript agregado a las imágenes es inocuo. Solo el agregado a los archivos HTML puede ser ejecutado, forzando al navegador a conectarse clandestinamente al sitio del que descarga el segundo troyano.
- ¿Cómo se puede proteger un servidor de Internet de esta infección?
Aplique todos los parches necesarios. Si usted encuentra un servidor sin los últimos parches, debería presumir que el servidor ha sido comprometido, aún si no ha visto signos obvios de un ataque. Dado el entorno actual de esta amenaza, un servidor sin los últimos parches, es muy probable pueda ser atacado exitosamente en las próximas horas.
- ¿Cómo se puede proteger a los usuarios para que no visiten estos sitios web? ¿Se ha publicado alguna lista? ¿Debe evitarse la navegación por Internet?.
No se ha proporcionado ninguna lista de sitios infectados. Los sitios afectados han sido alertados y la mayoría ha actuado rápidamente para eliminar la infección. En el momento actual, no se conoce de ningún sitio que todavía tenga el script. Sin embargo, dado que este tipo de ataque tiene muchas posibilidades de ser repetido utilizando un código diferente de javascript, se recomienda mantener actualizado el software antivirus, y desactivar JavaScript de su navegador.
Los usuarios finales deben tomar la precaución de deshabilitar la opción de ejecutar scripts. Se debe tener en cuenta que cualquier sitio Web, aun aquellos en los que confíe el usuario, pueden ser afectados por este ataque y contener código potencialmente malicioso.
En VSAntivirus recomendamos enfáticamente la configuración sugerida en el siguiente enlace, que previene la activación de cualquier clase de código script:
Configuración personalizada para hacer más seguro el IE http://www.vsantivirus.com/faq-sitios-confianza.htm
Enlaces relacionados:
JS/Scob.A. Descarga archivos al visitar sitios Web http://www.vsantivirus.com/js-scob-a.htm
W32/Scob.A. Infecta servidores IIS 5.0 http://www.vsantivirus.com/scob-a.htm
Back/Padodor.W. Roba información confidencial http://www.vsantivirus.com/back-padodor-w.htm
Fuente:
The SANS Institute (System Administration, Networking, and Security Institute), http://isc.sans.org/
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
Marcadores